Не могу найти Троян bitcoinmainer. Файлы после удаления восстанавливаются, видеокарта в 100% нагрузке!
Не могу найти Троян bitcoinmainer. Файлы после удаления восстанавливаются, видеокарта в 100% нагрузке!
Уважаемый(ая) [B]Павлюк Владислав[/B], спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
Здравствуйте!
Закройте все программы
Отключите
- Антивирус и Файрвол ([URL]http://virusinfo.info/showthread.php?t=130828[/URL])
[B][COLOR="#000080"]Важно![/COLOR][/B] на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL] в АВЗ:
[CODE]
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
end;
ClearQuarantine;
TerminateProcessByName('g:\temp\svchost.exe');
TerminateProcessByName('g:\temp\openvg.exe');
TerminateProcessByName('g:\temp\onion.exe');
QuarantineFileF('g:\TEMP', '*', true, ' ', 0, 0);
QuarantineFileF('C:\PROGRA~2\QtOpenGL', '*', true, ' ', 0, 0);
QuarantineFile('g:\TEMP\zlib1.dll','');
QuarantineFile('g:\TEMP\SSLEAY32.dll','');
QuarantineFile('g:\TEMP\LIBEAY32.dll','');
QuarantineFile('C:\PROGRA~2\QtOpenGL\gal_st2.dll','');
QuarantineFile('g:\TEMP\libcurl-4.dll','');
QuarantineFile('g:\temp\svchost.exe','');
QuarantineFile('g:\temp\openvg.exe','');
QuarantineFile('g:\temp\onion.exe','');
DeleteFile('g:\temp\onion.exe','32');
DeleteFile('g:\temp\openvg.exe','32');
DeleteFile('g:\temp\svchost.exe','32');
DeleteFile('g:\TEMP\libcurl-4.dll','32');
DeleteFile('C:\PROGRA~2\QtOpenGL\gal_st2.dll','32');
DeleteFile('g:\TEMP\LIBEAY32.dll','32');
DeleteFile('g:\TEMP\SSLEAY32.dll','32');
DeleteFile('g:\TEMP\zlib1.dll','32');
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
DeleteFileMask('g:\TEMP', '*', true, ' ');
DeleteFileMask('C:\PROGRA~2\QtOpenGL', '*', true, ' ');
DeleteDirectory('C:\PROGRA~2\QtOpenGL');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.
[/CODE]
[B]Внимание![/B] Будет выполнена перезагрузка компьютера. После перезагрузки компьютера [URL="http://virusinfo.info/showthread.php?t=7239"]выполните скрипт[/URL] в АВЗ:
[CODE]
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
[/CODE]
Пришлите карантин согласно Приложения 2 правил по красной ссылке [B]Прислать запрошенный карантин[/B] вверху темы
[B][COLOR="#000080"]Важно![/COLOR][/B] на Windows Vista/7/8 запускайте HiJackThis через контекстное меню проводника от имени Администратора. [URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/URL] следующие строчки в HiJackThis если они у вас есть.
[CODE]
R3 - URLSearchHook: (no name) - {8dec4b69-27c4-405d-a37d-8d45c83f66ab} - (no file)
O2 - BHO: AMD SteadyVideo BHO - {6C680BAE-655C-4E3D-8FC4-E6A520C3D928} - (no file)
O20 - AppInit_DLLs: C:\PROGRA~2\QtOpenGL\gal_st2.dll
[/CODE]
Скачайте [url="http://malwarebytes.org/mbam-download-exe-random.php"]Malwarebytes' Anti-Malware[/url] или с [URL="http://download.bleepingcomputer.com/malwarebytes/mbam-setup.exe"]зеркала[/URL], установите (во время установки откажитесь от использования [B]Пробной версии[/B]), обновите базы, выберите "[b]Perform Full Scan[/b]" ("[B]Полное сканирование[/B]"), нажмите "[b]Scan[/b]" ("[B]Сканирование[/B]"), после сканирования - [b]Ok[/b] - [b]Show Results[/b] ("[B]Показать результаты[/B]") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
[B][COLOR="Red"]Самостоятельно ничего не удаляйте!!![/COLOR][/B]
Если лог не открылся, то найти его можно в следующей папке:
[CODE]%appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs[/CODE] Файл требующегося лога имеет имя [U]mbam-log-[data] (time).txt[/U], например: [I]mbam-log-2013-11-09 (07-32-51).txt[/I]
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. [url=http://data.mbamupdates.com/tools/mbam-rules.exe]Загрузить обновление [B]MBAM[/B].[/URL]
МБАМ нашла много подозрительных файлов. Что делать дальше? Проблема с видеокартой решена в простое с подключенным интернетом нагрузка 0%. Вопрос: Установка бесплатного антивируса может устранить ранее описанные проблемы? Есть только мобильный интернет могут быть проблемы с обновлением баз.
Повторите сканирование в MBAM если уже его закрыли, отметьте галочками указанные ниже строчки - нажмите "[b]Remove Selected[/b]" ("[B]Удалить выделенные[/B]" - [B][COLOR="Red"]смотрите, что удаляете[/COLOR][/B]).
[CODE]
Обнаруженные ключи в реестре: 1
HKCR\CLSID\{3c471948-f874-49f5-b338-4f214a2ee0b1} (PUP.Optional.Conduit) -> Действие не было предпринято.
Объекты реестра обнаружены:
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowMyComputer (PUM.Hijack.StartMenu) -> Плохо: (0) Хорошо: (1) -> Действие не было предпринято.
Обнаруженные файлы:
C:\Program Files (x86)\Conduit\Community Alerts\Alert.dll (PUP.Optional.Conduit) -> Действие не было предпринято.
C:\Users\Администратор\AppData\Roaming\Auslogics\Rescue\Boost Speed\140217034214132.rsc (PUP.Optional.Cgminer) -> Действие не было предпринято.
C:\Users\Администратор\AppData\Roaming\Auslogics\Rescue\Boost Speed\140217034441769.rsc (PUP.Optional.Cgminer) -> Действие не было предпринято.
C:\Users\Администратор\AppData\Roaming\Auslogics\Rescue\Boost Speed\140217034503449.rsc (PUP.Optional.Cgminer) -> Действие не было предпринято.
C:\Users\Администратор\AppData\Roaming\Auslogics\Rescue\Boost Speed\140225011018996.rsc (PUP.Optional.Cgminer) -> Действие не было предпринято.
E:\System Volume Information\_restore{FCB0CF79-5D24-4B4A-857D-E00898D0ABF1}\RP121\A0023920.exe (Worm.Magania) -> Действие не было предпринято.
[/CODE]
После удаления ещё раз просканируйте и прикрепите к своему сообщению новый лог.
Удалил выше указанные файлы. Провел полное сканирование MBAM,вот лог.
Сделайте повторные логи по [url=http://virusinfo.info/pravila.html]правилам[/url] п.2 и 3 раздела Диагностика.([color=Blue]virusinfo_syscheck.zip;hijackthis.log[/color])
Не до читал. :>
Что с проблемой?
Все отлично работает, в диспетчере задач левых процессов не заметил, будут возможность отблагодарить не обижу. :D
[LIST][*]Загрузите [B]SecurityCheck by glax24[/B] [URL="http://tools.safezone.cc/glax24/SecurityCheck/SecurityCheck.exe"]отсюда[/URL] и сохраните утилиту на [I]Рабочем столе[/I][*]Запустите двойным щелчком мыши (если Вы используете [I]Windows XP[/I]) или из меню по щелчку правой кнопки мыши [I]Запустить от имени администратора[/I] (если Вы используете [I]Windows Vista/7[/I])[*]Если увидите [U]предупреждение от вашего фаервола[/U] относительно программы SecurityCheck, не блокируйте ее работу.[*]Дождитесь окончания сканирования, откроется лог в блокноте с именем [B]SecurityCheck.txt[/B];[*]Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем [I]SecurityCheck[/I], например [I][COLOR="Blue"]C:\SecurityCheck\SecurityCheck.txt[/COLOR][/I][*][/LIST]
Вот лог
Устраняйте уязвимости
Internet Explorer 8.0.7601.17514 [color=red][b]Внимание! [url=http://windows.microsoft.com/ru-RU/internet-explorer/downloads/ie-10/worldwide-languages]Скачать обновления[/url][/b][/color]
[color=red][b]Контроль учётных записей пользователя отключен[/b][/color]
[color=blue][b]^Рекомендуется включить: Win+R ввести UserAccountControlSettings и Enter^[/b][/color]
Запрос на повышение прав для администраторов [color=red][b]отключен[/b][/color]
Запрос на повышение прав для обычных пользователей [color=red][b]отключен[/b][/color]
[color=red][b]Автоматическое обновление отключено[/b][/color]
Java 7 Update 13 (64-bit) v.7.0.130 [color=red][b]Внимание! [url=http://www.oracle.com/technetwork/java/javase/downloads/1880261]Скачать обновления[/url][/b][/color]
[color=blue][b]^Скачайте jre-7u51-windows-x64.exe^[/b][/color]
Adobe Flash Player 11 ActiveX v.11.5.502.146 [color=red][b]Внимание! [url=http://download.macromedia.com/get/flashplayer/current/licensing/win/install_flash_player_12_active_x.exe]Скачать обновления[/url][/b][/color]
Adobe Flash Player 11 Plugin v.11.5.502.146 [color=red][b]Внимание! [url=http://download.macromedia.com/get/flashplayer/current/licensing/win/install_flash_player_12_plugin.exe]Скачать обновления[/url][/b][/color]
Adobe Reader XI - Russian v.11.0.00 [color=red][b]Внимание! [url=http://get.adobe.com/reader/]Скачать обновления[/url][/b][/color]
Mozilla Firefox 18.0 (x86 ru) v.18.0 [color=red][b]Внимание! [url=http://www.mozilla.org/ru/firefox/fx]Скачать обновления[/url][/b][/color]
+
[url=http://virusinfo.info/showthread.php?t=121902]Советы и рекомендации после лечения компьютера[/url]
MBAM деинсталлируйте.
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]21[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\progra~2\qtopengl\gal_st2.dll - [B]Trojan.Win32.BitMiner.fz[/B] ( DrWEB: Trojan.Starter.2926, BitDefender: Trojan.GenericKD.1510349, AVAST4: Win32:BitCoinMiner-FI [Trj] )[*] g:\temp\onion.exe - [B]not-a-virus:NetTool.Win32.Tor.d[/B] ( DrWEB: Tool.Tor.1 )[*] g:\temp\svchost.exe - [B]not-a-virus:RiskTool.Win32.BitCoinMiner.lkl[/B] ( DrWEB: Tool.BtcMine.150 )[/LIST][/LIST]